쿠버네티스[7] 네임스페이스 20220904

네임스페이스

 

쿠버네티스에서 네임스페이스는 단일 클러스터 내에서의 리소스 그룹 결리 메케니즘을 제공한다.

리소스의 이름은 네임스페이스 내에서 유일해야 하며 네임스페이스 간에서 유일할 필요는 없다.

 네임스페이스 기반 스코핑은 네임스페이스 기반 오브젝트에서만 적용가능하며 클러스터 범위의 오브젝트 에는 적용 불가

-       클러스터 범위의 오브젝트 : 스토리지클래스,노드,퍼시스턴트 볼륨 등

 

여러 개의 네임스페이스를 사용하는 경우

네임스페이스는 여러 개의 팀이나 프로젝트에 걸쳐서 많은 사용자가 있는 환경에서 사용하도록 만들어졌다.

사용자가 거의 없거나, 수 십명 정도가 되는 경우에는 네임스페이스를 전혀 고려할 필요가 없다.

 

네임스페이스는 이름의 범위를 제공한다.

리소스의 이름은 네이스페이스 내에서 유일해야하지만 네임스페이스를 통틀어서 유일할 필요는 없다.

네임스페이스는 서로 중첩될 수 없으며, 각 쿠버네티스 리소스는 하나의 네임스페이스에만 있을 수 있다.

 

네임스페이스는 클러스터 자원을(리소스 쿼터를 통해)여러 사용자사이에서 나누는 방법이다.

 

동일한 소프트웨어의 다른 버전과 같이 약간 다른 리소스를 분리하기 위해 여러 네임스페이스를 사용할 필요는 없다.

동일한 네임스페이스 내에서 리소스를 구별하기 위해 레이블을 사용한다

 

네임스페이스 다루기

네임스페이스의 생성과 삭제는 네임스페이스 관리자 가이드 문서를 참고한다.

참고 : kube-접두사로 시작하는 네임스페이스는 쿠버네티스 시스템용으로 예약되어 있으므로

       사용자는 이러한 네임스페이스를 생성하지 않아야 한다.

 

네임스페이스 조회

사용중인 클러스터의 현재 네임스페이스를 조회

   kubectl get namespace

 

   결과

NAME	STATUS	AGE
Default	Active	1d
Kube-node-lease	Active	1d
Kube-public	Active	1d
Kube-system	Active	1d

 

쿠버네티스는 처음에 네 개의 초기 네임스페이스를 갖는다.

l  default 다른 네임스페이스가 없는 오브젝트를 위한 기본 네임스페이스

l  kube-system 쿠베네티스 시스템에서 생성한 오즈젝트를 위한 네임스페이스

l  kube-public 이 네임스페이스는 자동으로 생성되며 모든 사용자(인증되지 않은 사용자 포함)가 읽기 권한으로

            접근할 수 있다. 이 네임스페이스는 주로 전체 클러스터 중에 공개적으로 드러나서 읽을 수 있는

            리소스를 위해 예약되어 있다. 이 네임스페이스의 공개적인 성격은 단지 일반적인 것이며 꼭 필요한 것은 아니다.

l  Kube-node-lease 이 네임스페이스는 각 노드와 연관된 리스 오브젝트를 갖는다 노드 리스는 kubelet이 하트비트를 보내서

                 컨트롤 플레인이 노드의 장애를 탐지할 수 있게 한다.

 

 

요청에 네임스페이스 설정하기

현재 요청에 대한 네임스페이스를 설정하기 위해서 --namespace 플래그를 사용한다.

   예

      kubectl run nginx –image-nginx –namespace-<insert-namespace-name-here>

      kubectl get pods --namespace=<insert-namespace-name-here>

 

선호하는 네임스페이스 설정하기

이후 모든 kubectl 명령에서 사용하는 네임스페이스를 컥테스트에 영구적으로 저장할 수 있다.

   kubectl config set-context --current --namespace=<insert-namespace-name-here>

   #확인하기

   kubectl config view --minfy | grep namespace:

 

네임스페이스와 DNS

서비스를 생성하면 해당 DNS 엔트리가 생성된다

이엔트리는 <서비스-이름>.<네임스페이스-이름>.svc.cluster.local 의 형식을 갖는다.

이는 컨테이너가<서비스-이름> 만 사용하는 경우, 네임스페이스 내에 국한된 서비스로 연결된다.

개발,스테이징,운영과 같이 여러 네임스페이스 내에서 동일한 설정을 사용하는 경우 유용하다.

네임스페이스를 넘어서 접근하기 위해서는 전체 주소 도메인 이름(FQDN)을 사용해야 한다.

 

모든 네임스페이스 이름은 유효한 RFC 1123 DNS 레이블 이어야 한다.

 

주의 : 네임스페이스의 이름을 공개 최상위 도메인 중 하나와 동일하게 만들면 해당 네임스페이스 내의 서비스의

       짧은 DNS 이름이 공개 DNS레토드오 겹칠 수 있다. 어떠한 네임스페이스 내의 워크로드가 접미점(trailing dot) 없이

       DNS 룩업을 수행하면 공개 DNS 레코드 보다 우선하여 해당 서비스로 리다리렉트 될 것이다.

       이를 방지하기 위해 신뢰하는 사용자만 네임스페이스를 생성할 수 있도록 권한을 제한한다.

       필요한 경우 추가적으로 써드파티 보안 컨트롤을 구성할 수 있다

         써드파티 보안 컨트롤 : 어드미션 웹훅을 이용하여 공개 TLD와 동일한 이름의 네임스페이스 생성을 금지 시킬수 있다.

 

모든 오브젝트가 네임스페이스에 속하지 않음

대부분의 쿠버네티스 리소스(예 : 파드 , 서비스 , 레플리케니션 컨트롤러 등)는 네임스페이스에 속한다

그러나 네임스페이스 리소스 자체는 네임스페이스에 속하지 않는다 그리고 노드나 퍼시스턴스 볼륨과 같은 저수준 리소스는

어느 네임스페이스에도 속하지 않는다.

 

네임스페이스에 속하지 않는 쿠버네티스 리소스를 조회하는 방법

#네임스페이스에 속하는 리소스

kubectl api-resources --namespace=true

 

#네임스페이스에 속하지 않는 리소스

Kubectl api-resources --namespace=false

 

 

  

자동 레이블링

기능 상태 : kubernetes 1.21[beta]

쿠버네티스 컨트롤 플레인은 NamespaceDefaultLabelName 기능 게이트가 활성화 된 경우 모든 네임스페이스에 변경할 수 없는(immutable)레이블

Kubernetes.io / metadata.name을 설정한다

레이블값은 네임스페이스 이름이다.